Estoy tratando de profundizar un poco más en el análisis dinámico de malware y actualmente necesito decidir qué herramienta usar. El arenero de cuco parece el estándar, pero ciertamente es más fácil de detectar que la introspección. Como la introspección de VM también es un desarrollo más reciente, no creo que ningún malware lo compruebe. Ambos utilizan máquinas virtuales, mientras que el cuclillo también se puede configurar para analizar sistemas en el metal desnudo. Por lo tanto, el malware malicioso para VM sería problemático en ambos casos. Sin embargo, para mis aplicaciones, el conocimiento de VM no importaría demasiado. Cuckoo se ejecuta a nivel de usuario y el malware que se ejecuta en modo kernel podría ocultarse de eso, pero en combinación con el análisis de memoria debería verlos nuevamente.
Tal vez alguien aquí tenga experiencias prácticas con ambas soluciones. La única solución de código abierto para la introspección de VM que conozco es DRAKVUF. También parece haber varias aplicaciones comerciales.
¿Cuáles son las diferencias en su uso práctico, como la velocidad, el procesamiento de los datos recopilados, las cosas que no se pueden recopilar con ninguno de los enfoques, la automatización, la generación de informes ...